Mercado abrirá em 9 h 12 min
  • BOVESPA

    128.427,98
    -339,48 (-0,26%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    50.170,78
    +40,90 (+0,08%)
     
  • PETROLEO CRU

    73,16
    +0,08 (+0,11%)
     
  • OURO

    1.775,30
    -8,10 (-0,45%)
     
  • BTC-USD

    32.621,76
    -1.213,37 (-3,59%)
     
  • CMC Crypto 200

    782,96
    -27,23 (-3,36%)
     
  • S&P500

    4.241,84
    -4,60 (-0,11%)
     
  • DOW JONES

    33.874,24
    -71,34 (-0,21%)
     
  • FTSE

    7.074,06
    -15,95 (-0,22%)
     
  • HANG SENG

    28.802,13
    -14,94 (-0,05%)
     
  • NIKKEI

    28.920,12
    +45,23 (+0,16%)
     
  • NASDAQ

    14.299,75
    +36,75 (+0,26%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,9258
    -0,0027 (-0,05%)
     

Novo golpe consegue driblar a dupla autenticação do WhatsApp

·3 minuto de leitura
Novo golpe consegue driblar a dupla autenticação do WhatsApp
Novo golpe consegue driblar a dupla autenticação do WhatsApp

Os golpes para roubar uma conta do WhatsApp (tecnicamente conhecidos como “Account Takeover”) estão completando dois anos e vários temas já foram usados para enganar as vítimas.

Até agora, a única maneira de evitá-los era ativar a confirmação em duas etapas (ou dupla autenticação), que usa uma senha numérica criada pelo usuário e solicitada durante uma reinstalação do app.

Mas segundo os especialistas da Kaspersky, os criminosos acabam de encontrar uma forma de burlar esta proteção, combinando engenharia social e uma solicitação ao suporte do WhatsApp.

Leia mais:

Não há mudanças no início do golpe. A vítima recebe uma ligação dos criminosos que se apresentam como representantes do Ministério da Saúde e perguntam se podem realizar uma pesquisa sobre a Covid-19.

Toda a encenação tem um objetivo claro: fazer a pessoa passar o código de seis dígitos que é enviado via SMS para “confirmar a realização da pesquisa”.

Se a vítima não presta atenção à mensagem e informa o código, a conta pode ser roubada. A mudança ocorre quando os golpistas se deparam com uma conta que solicita a senha da autenticação em duas etapas.

Quando isso acontece, eles encerram a ligação da suposta pesquisa e ligam novamente para a vítima. Mas, desta vez, se passam pelo suporte do aplicativo e dizem que a empresa identificou uma atividade maliciosa na conta, e que a vítima deve acessar seu e-mail para realizar o recadastro da dupla autenticação.

O que mais surpreendeu os especialistas da Kaspersky é que, de fato, a vítima recebe uma mensagem de e-mail legítima do WhatsApp com o título “Two-Step Verification Reset” (Resgate da Verificação em Duas Etapas – em tradução livre) com um link para desabilitar a proteção adicional.

Golpe no WhatsApp
A engenharia social é um elemento crucial nos golpes no WhatsApp. Imagem: Pixabay / Montagem Olhar Digital

“Tanto a mensagem quanto o link para recuperar a dupla autenticação são legítimos, ou seja, foram enviados pelo WhatsApp. Da mesma forma que podemos solicitar a recuperação de uma senha em uma loja online, podemos pedir a recuperação da dupla autenticação do app de mensagens, caso a senha seja esquecida. O golpe se vale de engenharia social, forçando as vítimas a clicarem no link recebido por e-mail”, explica o especialista da Kaspersky.

Assolini finaliza explicando que os criminosos permanecem na linha enquanto a vítima acessa o e-mail e o link e destaca que a página de destino, na verdade, realiza a desativação da autenticação em duas etapas.

“A ideia aqui é permitir que a pessoa crie uma nova senha ao ativar a função novamente. Só que os criminosos aproveitam que a conta está desprotegida e usam o código temporário recebido na primeira ligação para realizar a instalação em um dispositivo deles e assim seguir com o golpe, entrando em contato com amigos e familiares da vítima para pedir dinheiro”, detalha o pesquisador de segurança.

A única forma de evitar cair neste novo golpe é desconfiar ou saber antecipadamente que ele existe. Segundo Assolini, apenas o WhatsApp pode dar uma solução definitiva para isso e acabar com os golpes de sequestro de contas.

“Do ponto de vista da segurança, o aplicativo deve melhorar o processo de recuperação da dupla autenticação permitindo o recadastro na própria página da empresa, em vez de realizar a desativação. Desta forma, este esquema seria inviabilizado”, conclui.

Para se proteger, Assolini recomenda que os usuários ativem a autenticação em dois fatores e jamais desativem este recurso, a não ser que esqueçam a senha e tenham tomado esta decisão por conta própria.

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos